Una nueva variante del malware macOS rastreado como ActualizarAgente ha sido visto en la naturaleza, lo que indica intentos en curso por parte de sus autores para actualizar sus funcionalidades.
“Quizás una de las características más identificables del malware es que se basa en la infraestructura de AWS para alojar sus diversas cargas útiles y realizar sus actualizaciones de estado de infección en el servidor”, investigadores de Jamf Threat Labs. dicho en un informe
UpdateAgent, detectado por primera vez a fines de 2020, se ha convertido desde entonces en un cuentagotas de malware, lo que facilita la distribución de cargas útiles de segunda etapa, como el adware, al mismo tiempo que evita macOS. Portero protecciones
El gotero basado en Swift recién descubierto se hace pasar por binarios Mach-O llamados “Creador de PDF” y “Directorio Activo” que, al ejecutarse, establece una conexión con un servidor remoto y recupera un script bash para ejecutarlo.
“La principal diferencia [between the two executables] es que llega a una URL diferente desde la que debe cargar un script bash”, señalaron los investigadores.
Estos scripts bash, llamados “activedirect.sh” o “bash_qolveevgclr.sh“, incluya una URL que apunte a depósitos de Amazon S3 para descargar y ejecutar un archivo de imagen de disco (DMG) de segunda etapa en el punto final comprometido.
“El continuo desarrollo de este malware muestra que sus autores continúan activos, tratando de llegar a la mayor cantidad de usuarios posible”, dijeron los investigadores.